Sécurité

Les FCP de 120 millions de franchisés ont été exposés sur l’internet pendant des mois

Les chercheurs en sécurité ont trouvé un serveur non protégé auprès du CPF de 120 millions de franchisés, touchant 57% de la population. La société InfoArmor a découvert la vulnérabilité et a contacté le domaine responsable, mais il a fallu des semaines pour résoudre le problème ? qui ne concernait que le renommage d’un fichier.

Dans un rapport, InfoArmor explique qu’il a trouvé le serveur mal configuré en mars 2018, alors qu’il effectuait un scan de routine des machines vulnérables sur Internet. Il y avait un certain nombre de bases de données, dont une de 82 Go.

Il était difficile de trouver à qui appartenait le serveur. Après plusieurs tentatives frustrées, les chercheurs ont décidé de contacter la société d’accueil. Elle dit dans un e-mail qu’elle a informé ses clients des problèmes juridiques que pose le fait de laisser ces informations exposées.

Cependant, les bases de données sont restées accessibles pendant plusieurs semaines après . “L’équipe a observé le répertoire ouvert et a vu les fichiers devenir de plus en plus petits, comme si les utilisateurs ne faisaient que travailler avec eux de manière exposée”, indique le rapport.

  Qu'est-ce que DisplayPort ?

Les bases de données SQL portaient des noms tels que personal_data, data_endereco, data_telephone, data_business et data_military. Ils n’étaient pas accessibles ; seul cpf_temp a été exposé.

Le serveur serait protégé lors du changement de nom d’un fichier

Fin avril, le serveur a finalement été réparé. Le site était auparavant accessible par adresse IP, mais a été reconfiguré avec le domaine alibabaconsultas.com, ce qui a conduit à un écran de connexion et de mot de passe. Le portail de “consultation en ligne des envois” est actuellement hors ligne.

InfoArmor pense qu’Alibaba Consultas (sans lien avec la société chinoise Alibaba) était impliquée d’une manière ou d’une autre dans le serveur vulnérable, “probablement en raison de l’utilisation de l’hébergement comme un service”. Cependant, la société de sécurité ne sait toujours pas qui est responsable de la fuite.

Et comment éviter cette fuite ? Il suffit de mettre un fichier appelé “index.html” dans le dossier, même s’il était vide. Cela empêcherait le répertoire d’être répertorié sur Internet et personne n’aurait accès aux bases de données. Selon InfoArmor, quelqu’un a renommé le fichier “index.html” en “index.html_bkp”, révélant tout le contenu au monde entier.

  Cerberus empêche le voleur d'éteindre son Android lorsque l'écran est verrouillé

“Par défaut, un serveur web Apache renvoie le contenu d’un fichier par défaut appelé index.html lorsqu’il est présent”, explique Bleeping Computer. “Si un fichier portant ce nom n’existe pas et que la liste des répertoires est activée, le serveur affichera les fichiers contenus dans le dossier demandé et autorisera le téléchargement.

Un expert demande une “enquête approfondie

“Une enquête complète du gouvernement français est nécessaire pour déterminer qui doit assumer la responsabilité”, déclare Ilia Kolochenko, PDG de la société de sécurité High-Tech Bridge, dans un communiqué.

“Cependant, je ne serais pas si sûr que les cybercriminels soient capables d’obtenir les données du serveur exposé”, poursuit-il. “Je préfère supposer que les cybercriminels disposent de ces données (et probablement de nombreuses autres données gouvernementales françaises) depuis des années si une fuite aussi évidente se produisait dans des circonstances aussi scandaleuses”.

La loi sur la protection des données personnelles prévoit une amende équivalente à 2% des ventes, limitée à 50 millions, en cas de fuite. Elle entrera en vigueur en 2020.

  Meltdown et Spectre : les défaillances qui touchent presque tous les processeurs du monde

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire